信息安全管理涉及信息安全的各个方面,包括制定信息安全政策、风险评估、控制目标与方式选择、制定规范的操作流程、对人员进行安全意识培训等系列工作。主要通过在十一个领域内建立管理控制措施,构建信息安全的保障系统,具体内容包括:

（1）安全方针和策略,为信息安全提供管理指导和支持。 （2）组织安全,建立管理架构,管理和维护信息安全,保护被外部组织访问、处理、沟通或管理的信息及信息处理设施的安全。

（3）资产分类与控制,通过对信行分类、标识、责任划分以及风险评估与控制,确保信受到与其安全要求相对应的保护。

（4）人员安全,通过安全职责、用户培训及安全事故报告等方面确保将人为因素对信息资产的安全威胁降到最低。 （5）物理与环境安全,通过对安全区域、设备及信息媒体的安全控制,保证信息的安全。

（6）通信与运行及操作安全,通过明确作业程序及责任、第三方服务交付管理、系统规划与验收、防范恶意与移动代码、备份与恢复、网络安全管理、存储媒体控制、信息与软件交换控制、电子商务安全控制及安全监视等,保证信息系统在通信和操作过程中的安全。

（7）访间控制,包括明确访问控制要求、用户访问管理、明确用户责任，网络访间控制、操作系统访间控制、应用程序访间控制及移动计算和远程工作控制等。

（8）系统获取和开发及维护,通过明确系统安全需求、应用系统安全控制、密码控制、文档安全控制、开发与支持过程安全控制以及技术脆弱点管理,确保系统开发与维护过程的安全。

（9）安全事故管理，通过及时报告安全事故和弱点、建立安全事故职责和程序、从安全事故中学习经验及收集证据等对信息安全事故进行管理,对信息系统脆弱点进行纠正和改进。

（10）业务持续性,通过安全应急响应和灾难恢复,防止运营中断并保护关键流程或服务免受重大事故或灾难的影响。符合性,通过法律法规符合性审查、安全政策与技术符合性审查、系统审核控制和审核工具保护,确保系统符合法律法规、安全政策及标准,提高系统有效性,并使系统审核过程的影响最小化。

更多内容您可前往信创致远http://www.dengbao110.com/查看。